今年以来,红蓝攻防演练在企业安全服务市场大行其道,尤其是在演练的带动下,很多企业之前都会进行一两轮实战演练,甚至三四轮攻防演练,提前发现企业安全体系建设中的短板和薄弱环节。然而,一些公司有点困惑。我们公司一直在采购渗透测试服务。有必要进行红蓝攻防演练吗?渗透测试和红蓝攻防演练有什么区别?在这里,笔者将谈谈渗透测试的各种姿势,方便大家在购买安全服务时进行比较。一、渗透测试的基本概念根据百度百科的定义:渗透测试是为证明网络防御按预期计划正常运行而提供的一种机制。搜狐网一位网友分享的定义:渗透测试是在获得客户授权的情况下,通过模拟黑客攻击,对客户整个信息系统进行全面的漏洞搜索、分析和利用,最终给出完整的渗透报告和问题解决方案。计划。从这些定义来看,渗透测试的内涵其实很宽泛,并没有具体的表达形式。因此,在具体实施过程中,甲方根据各自企业情况(如风险承受能力、CTO/CSO个人偏好、预算投入、财务制度等)进行了灵活协商,形成了适应于企业的实际情况,可以说,一千家企业,就有一千种渗透测试模式。2.渗透测试的各种姿势然而,根据笔者的观察,这些不同的渗透测试模式大致可以分为以下五种:上线前渗透测试、上线后定期在线安全测试、基于安全性的安全测试。公测平台众测、自组织安全众测、红蓝攻防演练。(1)上线前渗透测试这应该是各种企业安全测试的标准配置。一般信息系统完成联调联测,各项功能指标和技术指标达到设计要求后,在企业的测试环境中进行渗透测试。从某种意义上说,上线前的渗透测试是一个安全检查表,一般以技术漏洞为主,使用各种工具检查系统是否存在xss、文件上传、未授权访问、命令执行等漏洞。渗透测试结果一般直接传递给业务系统开发人员,对企业其他人员的安全意识传递相对薄弱。目标系统:单体业务系统的测试环境系统涉及人员:业务系统开发人员、组织测试安全人员风险等级:极小,测试环境的实施不会影响业务。发现问题的影响:乙方单一系统的厂商组织形式:一般会通过购买人力包或项目包,购买一两个安全厂商的服务来实现。这里建议至少购买两台,形成竞争格局。局限性:难以实现测试区域全覆盖,无法发现上线过程中因配置错误导致的安全漏洞。(2)上线后定期上线安全测试由于上线前的渗透测试无法发现上线过程中配置错误导致的安全漏洞,部分公司会采用上线后定期上线安全测试的形式,例如每季度一次,每个月等大事发生前。根据实际情况,在线安全测试的对象可以选择针对某个系统或少数系统,也可以选择全量的在线业务系统。安全测试不仅是从技术角度进行漏洞检测的正面攻击,还可以通过端口扫描、资产发现、管理后台扫描等手段检测配置错误导致的安全漏洞。目标系统:一个或多个生产环境系统涉及人员:业务系统开发人员、业务系统运维人员、组织测试安全人员、安全监控人员风险等级:存在一定风险。数据带来的脏数据风险;二是部分渗透测试人员发现漏洞不报告,私下下载企业业务数据。发现问题的影响:乙方单一系统的厂商组织形式:一般会通过购买人力包或项目包,购买一两个安全厂商的服务来实现。这里建议至少购买两台,形成竞争格局。局限性:很难实现测试面的全覆盖。(3)基于Crowdtest平台Crowdtest的安全性。五云网成立于2010年,聚集了一批民间渗透测试专家,俗称“白帽子”,后来发展成为国内颇具影响力的漏洞平台。2011年,成立仅一年的五云网连续披露京东、支付宝、网易等知名互联网公司的高危漏洞。此后,又陆续指出支付宝2500万用户数据泄露、如家酒店开房信息泄露、腾讯7000万QQ群用户数据泄露等事件。和其他安全问题。据说那时候,企业安全人员每天起床的第一件事就是打开五云平台,看看自己有没有安全漏洞。五云网的崛起,让人们看到了渗透测试领域“人民战争”和“群众路线”的力量。之后,五云网因种种原因停摆。然而,一批安全厂商如雨后春笋般涌现,提供公测服务,如典型的漏洞盒子安全公测平台、360Patching安全公测平台、阿里先知安全公测平台、SOBUG安全公测平台等随着各企业互联网应用的不断增多,传统的安全渗透测试也面临着测试人力不足、产品版本变化过快等问题。甲方厂商发现,无论是代码安全测试、上线前渗透测试,还是上线后的定期安全测试,都无法全面、及时地发现公司所有的安全漏洞,各类安全漏洞平台仍会存在各自的安全漏洞。自己的安全漏洞。与其坐以待毙,不如主动出击。因此,一些甲方厂商开始与公测平台合作,通过协议委托公测平台发布专业测试项目。参与项目的白帽子必须通过审核认证,方可报名参与公测项目,依靠外部白帽来发现企业安全漏洞。目标系统:可以是一个或多个生产环境系统,也可以是待发布的测试环境系统。涉及人员:业务系统开发人员、业务系统运维人员、组织测试的安全人员、安全监控人员风险等级:存在较高风险。一是白帽子管理相对松散,背景调查和身份核实难度较大。二是一些高危操作可能会对企业的生产数据造成脏数据风险;三是部分渗透测试人员发现漏洞不报告,私下下载企业业务数据。发现问题的影响:单一系统乙方组织形式:选择互联网安全公测平台作为安全公测服务商,组织白帽参与项目公测,形成白帽之间的竞争机制。与公测平台签约项目系统,您可以在公测平台上在线公开发布公测项目,也可以依托公测平台在线下组织公测项目。局限性:难以发现高级安全漏洞。(四)企业自组织安全众测随着众测的发展,一些比较大的甲方厂商开始有了不同的想法。第一,有些公司觉得与其去公测平台开公测项目收集企业安全漏洞,还不如我直接接收白帽的安全漏洞。因此,各大互联网公司都开始建立自己的SRC安全应急中心。提供专门的漏洞收集板块供白帽提交漏洞,并为白帽提供积分、礼物、现金等奖励。二是部分企业认为众测平台安全风险管控难度大。普通的渗透测试缺乏竞争机制,很难发现高级别的安全漏洞。于是这些公司开始组织厂商众测模式,选择四五家安全厂商同时进行安全测试,然后根据漏洞效果付费。漏洞级别越高,报酬越高,级别越低,报酬越低。目标系统:一个或多个生产环境系统。涉及人员:业务系统开发人员、业务系统运维人员、组织测试的安全人员、安全监控人员风险等级:存在较高风险。首先,SRC模式对白帽子的管理相对松散,背景调查和身份核实难度较大。二是一些高危操作可能会对企业的生产数据造成脏数据风险;三是部分渗透测试人员发现漏洞不报告,私下下载企业业务数据。发现问题的影响:厂商公测可能发现影响较大的安全漏洞。乙方厂商组织形式:选择多家(一般为2~5家)安全渗透测试公司,组织专业渗透人员参与项目公测。按漏洞影响付费,形成多家公司优劣淘汰的竞争机制。局限性:安全漏洞数量不可控,企业投入较大,乙方服务无法持续实施。一般是项目制的形式,预算用完就会停止服务。(5)红蓝攻防演练上面提到的渗透测试相当于单目标射击考核,是一种特殊的能力测试,主要是为了发现技术漏洞。红蓝攻防演练考验企业整体防护水平和防护体系,如全员安全意识、防护系统的检测发现能力、目标系统的脆弱性等。漏洞也很考验人员的安全意识。因此,红蓝攻防演练一般针对企业所有信息系统和分支机构,不设定具体目标或具体方法,综合检验企业的主动防护、安全检测和应急响应能力。发现系统技术漏洞是附属性的。在攻防演练中,首先攻击者会利用社工、角落系统等对系统进行包抄,直至达到入侵系统的目的。任何疏忽都可能导致整个防御系统的崩溃。攻防演练考验着企业的整体防护水平。二、攻防演练不仅可以发现技术漏洞,还可以发现企业安全管理漏洞、防护系统漏洞、防护策略漏洞等。3、目标的所有资产、人员、数据等企业的攻防演练。因此,任何人或系统都可能成为企业安全防护体系中的短板。最后在演练总结报告中进行归纳提炼,传达给企业全体员工,可以达到提高全体员工安全意识的目的。在集中攻防演练中,企业安全人员作为防御者,全面参与攻防过程,可以有效提升防护人员的技术水平。目标系统:企业所有资产、人员、数据、系统。涉及人员:企业全体人员风险等级:存在较高风险。第一,一些高危操作可能会对企业的生产数据造成脏数据风险;二是部分渗透测试人员发现漏洞不报告,私下下载企业业务数据。发现问题影响:可全面发现企业安全系统漏洞乙方厂商组织形式:选择多家(一般为2~5家)安全渗透测试公司,组织专业渗透人员参与红蓝攻防演练,并根据漏洞效应付费,在多家公司之间形成竞争机制,优胜劣汰。局限性:安全漏洞数量不可控,企业投入较大,乙方服务无法持续实施。一般是项目制的形式,预算用完就会停止服务。三、购买渗透测试服务的建议综上所述,甲方在制定年度安全渗透服务预算时,可适当考虑多层次的安全渗透测试服务,以达到尽可能多地发现安全漏洞的目的。首先,上线前渗透测试和上线后定期安全测试应该是企业安全渗透测试服务的标准选择。有些企业可能害怕渗透测试会影响业??务运营,所以只选择上线前的渗透测试。然而,大家不知道的是,一些系统在上线过程中的漏洞也是巨大的。更有什者,部分系统上线前未通过安全渗透测试或相变未通过安全渗透测试。这些都会造成渗透测试在流程和机制上存在覆盖盲点。其次,可以适当考虑安全人群测试的预算。毕竟,渗透测试领域的“人民战争”和“群众路线”的力量不容小觑。预算少的中小企业可以在公测平台上启动公测项目,预算大的大企业可以考虑自建SRC服务,或者组织自己的厂商公测。有些人认为我们是一家非常低调的公司。是否有必要开启一个公测项目来吸引外部白帽子的注意。在这里,我想说的是,无论你低调与否,漏洞总是存在的。如果你不主动去发现并修复它们,它们就会一直存在。与其被动受攻击,不如主动出击。最后,大公司在规划安全渗透测试服务预算和年度计划时,尽量安排一些资金用于攻防演练。红蓝攻防演练对企业安全建设的好处只有亲身体验才能体会。一是每年固定一两个时间点(上半年和下半年各一次),发布攻防演练通知,集中攻防演练(集中时间点)。2、一般企业可以组织外部安全团队进行攻防演练。防御方由企业内部人员执行,攻击方由外部企业组织。大厂普遍开始建立专门的安全渗透队伍,被称为企业蓝军,定期进行攻防演练。3、渗透测试可以适当形成中标奖励机制。需要根据公司的攻击结果来判断英雄并提供资金。不要让外部企业觉得自己做的多了还是少了,有没有效果。
